Analyse CTI : Chasse à l'Évasion de Défense et au Mouvement Latéral (T1055, T1021)

Danger

Résumé exécutif : une fois qu’un acteur de la menace a établi sa persistance, ses objectifs se divisent en deux axes opérationnels parallèles : se propager à travers le réseau pour localiser les “joyaux de la couronne”, et aveugler le centre opérationnel de sécurité (SOC) pour masquer sa présence. Dans le framework MITRE ATT&CK, c’est le domaine du Mouvement Latéral (TA0008) et des tactiques d’évasion nouvellement séparées (Stealth - TA0005 et Defense Impairment - TA0112). Pour les analystes DFIR, chasser ces phases nécessite de pivoter des artefacts statiques sur disque vers une forensique mémoire avancée, une télémétrie réseau, et la détection de la falsification des journaux.

1. Aveugler le SOC : altération des défenses et suppression d’indicateurs

Avant de se déplacer latéralement, les adversaires sophistiqués s’assurent que leurs traces sont couvertes. Avec la sortie d’ATT&CK v19 (avril 2026), MITRE a formellement séparé la furtivité passive du sabotage actif.

A. Désactiver ou modifier les outils (T1685)

(Anciennement T1562 - Impair Defenses) Les opérateurs de ransomwares modernes et les APT ciblent activement les agents de détection et de réponse des terminaux (EDR). Ils utilisent des attaques de type “Bring Your Own Vulnerable Driver” (BYOVD) pour obtenir un accès au niveau du noyau et terminer les processus EDR ou aveugler leurs pipelines de télémétrie.

• Pivot DFIR : les analystes doivent surveiller l’interruption inattendue de la télémétrie Sysmon ou des événements d’arrêt soudain de service (Événement ID 7036) affectant des services de sécurité connus.

B. Suppression d’indicateurs : effacer les journaux d’événements Windows (T1070.001)

Effacer l’enregistreur de vol (flight recorder) est la plus vieille ruse du manuel d’anti-forensique. Les adversaires utilisent wevtutil cl ou la commande PowerShell Clear-EventLog pour effacer leur historique d’exécution.

• La télémétrie : comme détaillé dans notre guide d’analyse des EVTX, le fait d’effacer un journal génère une alerte indélébile.
• Focus de chasse : alertez immédiatement sur l’Événement de Sécurité 1102 (Le journal d’audit a été effacé) et l’Événement Système 104. Si ces événements se déclenchent en dehors d’une fenêtre de maintenance informatique autorisée, c’est la preuve définitive d’une intrusion active et hautement privilégiée.

2. La menace invisible : injection de processus (T1055)

Afin d’échapper aux pare-feux basés sur les processus et aux listes blanches d’applications (Stealth - TA0005), les attaquants évitent d’exécuter directement des binaires personnalisés. Au lieu de cela, ils injectent leur code malveillant dans l’espace mémoire d’un processus Windows légitime en cours d’exécution.

Comme exploré dans notre guide complet sur les fondations de l’injection de processus, cette technique brise fondamentalement la surveillance traditionnelle de la filiation des processus (Événement 4688).

Résolution dynamique et injection

les attaquants utilisent des API comme VirtualAllocEx et WriteProcessMemory pour pousser leur charge utile (ex: une balise Cobalt Strike) dans des processus comme explorer.exe ou svchost.exe. Focus de chasse : surveillez l’Événement Sysmon 8 (CreateRemoteThread) et l’Événement Sysmon 10 (ProcessAccess). Tout processus non système ouvrant un handle hautement privilégié vers un binaire Windows central est suspect.

Évasion avancée (Next-Gen)

pour contourner le hooking des API par l’EDR, les adversaires modernes utilisent le Module Stomping et le Memory Mirroring. Pivot DFIR : une analyse forensique de la mémoire en “Live Response” est requise. Les analystes doivent utiliser Volatility 3 (ex: le plugin windows.malfind) pour localiser les pages mémoire exécutables (PAGE_EXECUTE_READWRITE) qui ne sont pas adossées à des fichiers sur le disque (unbacked).

3. Propager l’infection : services distants (T1021)

Le mouvement latéral est le mécanisme par lequel une brèche localisée dégénère en une compromission totale du domaine. Les adversaires préfèrent massivement utiliser les ressources du système (“Live off the Land”) en abusant des protocoles d’administration à distance natifs de Windows.

A. Partages d’administration Windows / SMB (T1021.002)

Le protocole Server Message Block (SMB) est l’arme de choix, silencieuse et scriptable. Les acteurs de la menace exploitent des identifiants volés pour accéder aux partages d’administration cachés (C$, ADMIN$).

• L’exécution : ils utilisent des outils comme PsExec ou WMI pour déposer une charge utile et l’exécuter à distance.
• La télémétrie : chassez l’Événement 4624 (Logon Type 3 - Réseau) provenant d’adresses IP de postes de travail plutôt que de contrôleurs de domaine. Corrélez cela avec l’Événement 5145 (Accès à un objet de partage réseau) ciblant le partage IPC$, qui révèle l’utilisation de tubes nommés (Named Pipes) pour la communication C2.

B. Protocole Bureau à distance / RDP (T1021.001)

Lorsque les adversaires nécessitent une interaction graphique (ex: pour désactiver manuellement une interface d’antivirus ou interagir avec une application métier complexe), ils pivotent vers le RDP.

• La télémétrie : comme souligné dans notre Playbook SMB vs. RDP, le RDP laisse des traces bruyantes et très visibles. Les analystes doivent chasser l’Événement 4624 (Logon Type 10 - RemoteInteractive).
• Pivot DFIR : pour une chronologie complète, investiguez les journaux opérationnels des services de bureau à distance (RDS) (Événements 21, 24, 25) pour déterminer exactement quand l’attaquant s’est connecté, déconnecté et reconnecté à la session détournée.

4. Ingénierie de détection (Requêtes actionnables)

Déployez les requêtes suivantes dans votre SIEM pour chasser de manière proactive la destruction de preuves forensiques et les principaux vecteurs de mouvement latéral.

KQL (Suppression d'indicateurs)

hunt_t1070_log_wiping.kql

// Mitre ATT&CK : T1070.001 (Effacer les journaux d'événements Windows)
// Détecte la suppression de journaux d'événements Windows critiques, une alerte anti-forensique majeure.
SecurityEvent
| where EventID == 1102 or EventID == 104
| project TimeGenerated, Computer, Account, EventID, Activity
// Joindre avec la création de processus pour voir ce qui s'est exécuté juste avant l'effacement
| join kind=leftouter (
    SecurityEvent
    | where EventID == 4688
    | project ProcessTime = TimeGenerated, Computer, Account, ProcessCommandLine
) on Computer, Account
| where ProcessTime between ((TimeGenerated - 5m) .. TimeGenerated)
| sort by TimeGenerated desc

Sigma (Mouvement latéral RDP)

sigma_t1021_rdp_lateral_movement.yaml

title: Mouvement Latéral RDP Interne (Logon Type 10)
id: 3c4d5e6f-7a8b-9c0d-1e2f-3a4b5c6d7e8f
status: stable
description: Détecte les connexions réussies par Bureau à distance (RDP) provenant de plages IP de postes de travail internes, fortement révélatrices d'un mouvement latéral.
logsource:
    product: windows
    service: security
detection:
    selection:
        EventID: 4624
        LogonType: 10
        # Cibler les comptes administratifs ou de service
        TargetUserName|contains|any:
            - 'admin'
            - 'svc_'
    filter_external:
        # Se concentrer purement sur le mouvement latéral d'interne à interne
        IpAddress|startswith:
            - '10.'
            - '172.16.'
            - '192.168.'
    # Filtrer les machines de rebond (jump boxes) IT autorisées
    filter_authorized_jumpbox:
        IpAddress: '10.0.50.100'
    condition: selection and filter_internal and not filter_authorized_jumpbox
level: high
tags:
    - attack.lateral_movement
    - attack.t1021.001

5. Conclusion

La chasse à l’évasion de défense et au mouvement latéral exige qu’un analyste passe de l’observation de ce qui s’exécute à l’observation de comment l’environnement se comporte. Un seul fichier journal effacé, un pic soudain de trafic SMB vers le partage ADMIN$, ou une page de mémoire exécutable non adossée sont les alarmes silencieuses d’un réseau en état de siège actif.

En combinant les méthodologies détaillées tout au long de cette série MITRE ATT&CK — de l’Accès Initial et la Persistance jusqu’au Mouvement Latéral — les équipes DFIR peuvent construire un filet de détection exhaustif et interconnecté qui piège les adversaires à chaque étape de leur opération.

---

Sources et références

• MITRE ATT&CK : Defense Evasion (TA0005) & Defense Impairment (TA0112)
• MITRE ATT&CK : Lateral Movement (TA0008)
• Analyse liée : Décoder la mise à jour MITRE ATT&CK v19
• Playbook lié : Mouvement Latéral : SMB vs. RDP